Tietoturvahäiriö: Kesäkuu 5-6 päivitys

Tietoturvahäiriö: Kesäkuu 5-6 päivitys

 Raportoimme eilen MyHeritageen kohdistuneesta tietoturvahäiriöstä, jossa 92,3 miljoonan MyHeritage-käyttäjän sähköpostiosoitteet ja hajautetut salasanat vuotivat MyHeritagen ulkopuolella olevalle yksityiselle palvelimelle.

Tietoturvahäiriöryhmämme (Information Security Incident Response Team) tutkii edelleen tätä tapausta ja meillä ei vielä ole tietoa vuodon lähteestä. Emme ole kohdanneet MyHeritage-tilien väärinkäyttöä eikä meillä ole näyttöä siitä, että tietoja olisi käytetty haitallisella tavalla.

Tapauksesta raportoi yksi turvallisuustutkijamme eilen, 4. kesäkuuta 2018 noin klo 13 EST (itäistä normaaliaikaa), joka tarkoittaa klo 20 pääkonttorissamme Israelissa. Kokosimme ryhmän tutkimaan tapausta, keräsimme riittävät tiedot, jotta pystyimme ilmoittamaan asiasta julkisuuteen ja teimme kaiken 8 tunnissa tiedon saannista.

Siitä hetkestä, kun asia tuli tietoomme, olemme, kirjaimellisesti, työskennelleet kellon ympäri tehden asioita, jotka auttavat suojaamaan käyttäjiämme. Nyt halusimme, vuorokausi alkuperäisen raporttimme jälkeen, tehdä päivityksen tähän astisista toimista.

Vaikka varsinaisia salasanoja ei vuotanut ulos, ainoastaan hajautettuina, kehotamme käyttäjiämme muuttamaan salasanansa ja monet ovat jo niin tehneetkin. Maksimoidaksemme käyttäjiemme turvallisuuden olemme myös aloittaneet prosessin, jossa KAIKKIEN MyHeritage-käyttäjien salasanat kuoletetaan. Tämä tapahtuu muutaman seuraavan päivän aikana. Vanhentuminen koskee kaikkia 92,3 miljoonaa käyttäjätiliä plus kaikkia 4 miljoonaa tiliä, jotka on rekisteröity murtopäivän, 26.10.2017, jälkeen. Tähän mennessä olemme kuolettaneet jo yli puolet MyHeritagessa olevista käyttäjätilien salasanoista.

Käyttäjien, joiden salasanat on kuoletettu, täytyy antaa uusi salasana eikä tiliä voi käyttää ennen sen tekemistä. Voimme toteuttaa tämän prosessin ainoastaan lähettämällä sähköpostiviestin MyHeritage-tilin sähköpostiosoitteeseen. Se tekee luvattomien henkilöiden tilille pääsyn ja salasanan käytön vielä vaikeammaksi, siinäkin tapauksessa, että he sen tietäisivät. Suunnittelemme saavamme salasanojen kuoletusprosessin valmiiksi muutaman päivän aikana, jonka jälkeen entisillä salasanoilla ei ole pääsyä MyHeritage-tileillä oleviin tietoihin. Huomaa, että tämä tapaus ei ole vaikuttanut MyHeritagen omistamiin ja operoimiin muihin palveluihin ja nettisivuihin kuten Geni ja Legacy Family Tree.

Kuten olemme kertoneet, olemme nopeuttaneet kaksivaiheisen tunnistautumisen lisäämistä MyHeritageen ja päivitämme tilanteen, kun se on käytössä, sillä suosittelemme painavasti sen käyttöönottoa turvallisuuden lisäämiseksi.

Käyttäjät, joilla ongelmia salasanan vaihtamisen kanssa tai on muita huolia tai kysymyksiä voivat ottaa yhteyttä asiakastuen turvallisuustiimiin sähköpostilla privacy@myheritage.com tai puhelimitse maksuttomaan numeroon (+358) 800102172 Su – to 8-22 ja pe 8-16. Uskomme, että tunkeutuminen on rajoittunut käyttäjien sähköpostiosoitteisiin. Meillä ei ole mitään syytä uskoa muiden MyHeritage-järjestelmien vaarantuneen. Esimerkkinä luottokorttitiedot, joita ei tallenneta MyHeritagessa vaan MyHeritage hyödyntää luotettuja kolmannen osapuolen laskutuksen tarjoajia (esim. BlueSnap, PayPal). MyHeritage tallentaa muita arkaluonteisia tietoja, kuten sukupuita ja DNA-tietoja erillisillä järjestelmillä erillään niistä, jotka tallentavat sähköpostiosoitteita, ja ne sisältävät lisättyjä suojaustasoja. Meillä ei ole mitään syytä uskoa näiden järjestelmien vaarantuneen

Olemme saaneet valmiiksi GDPR-raportoinnin viranomaisille.

Olemme valmistautuneet ilmoittamaan murrosta käyttäjille, yksilöllisesti, sähköpostilla; prosessi, joka kestää jonkun aikaa johtuen käyttäjien suuresta määrästä.

Jälleen, haluamme painottaa, että yksityisyytesi ja tietojesi turvallisuus on ja tulee aina olemaan ykkösprioriteettimme. Jatkamme lähipäivinä tiedottamista toimistamme ja pidämme sinut ajan tasalla.

Kiitos ymmärryksestäsi

MyHeritage team

Contact
Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com